springcloud-gateway CorsWebFilter CORS跨域配置无效

bulingbuling^_^

已于 2022-05-31 09:55:52 修改

阅读量2.8k

点赞数 3

分类专栏： Spring 文章标签：网络协议网络

于 2022-05-31 00:48:46 首次发布

本文链接：https://blog.csdn.net/qq_41029282/article/details/125055954

版权

Spring 专栏收录该内容

9 篇文章 0 订阅

订阅专栏

先说结论：如果要跨域发送Cookie，Access-Control-Allow-Origin就不能设为星号

config.setAllowCredentials(true)

config.addAllowedOrigin("*")

config.addAllowedOrigin("*")-----换成-->config.addAllowedOriginPattern("*")

或者你不需要跨域发送Cookie，可以改为false。

原因：

1.首先理解Cookie。百度解释就够了百度搜索Cookie

Cookie作用就是保存用户信息在本地，用户每次访问站点时，Web应用程序都可以读取 Cookie 包含的信息。当用户再次访问这个站点时，浏览器就会在本地硬盘上查找与该 URL 相关联的 Cookie。如果该 Cookie 存在，浏览器就将它添加到request header的Cookie字段中，与http请求一起发送到该站点。

Cookie遵循同源策略，它的组成中

domain 和 path 这两个选项共同决定了Cookie能被哪些页面共享

(3)Path属性：定义了Web站点上可以访问该Cookie的目录 。

(4)Domain属性：指定了可以访问该 Cookie 的 Web 站点或域。

简单来说就是，我们网页登录了腾讯视频，关闭后，一段时间内都不用重新登录，但是你不能说你现在要看爱奇艺了也不用登录，哪怕是同样的账号密码，怎么区分的呢，因为你进爱奇艺时是读取不到 Domain和Path是腾讯视频的Cookie信息的。

所以这个地址是保证Cookie使用和安全很重要的凭证。因此Cookie默认是不能跨域的。

2.理解跨域请求。可以看这篇文章跨域资源共享 CORS 详解 - 阮一峰的网络日志

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。

它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

但是我们就是要跨域发送Cookie，那他就规定了，你要跨域发送Cookie,allowedOrigins就不能设为星号，而allowedOriginPatterns没有这个validate验证。

spring-web5.3.1 CorsConfiguration源码。老一些的版本没有这个报错。

    @Nullable
    public String checkOrigin(@Nullable String origin) {
        if (!StringUtils.hasText(origin)) {
            return null;
        } else {
            String originToCheck = this.trimTrailingSlash(origin);
            Iterator var3;
            if (!ObjectUtils.isEmpty(this.allowedOrigins)) {
                if (this.allowedOrigins.contains("*")) {
                    this.validateAllowCredentials();
                    return "*";
                }

                var3 = this.allowedOrigins.iterator();

                while(var3.hasNext()) {
                    String allowedOrigin = (String)var3.next();
                    if (originToCheck.equalsIgnoreCase(allowedOrigin)) {
                        return origin;
                    }
                }
            }

            if (!ObjectUtils.isEmpty(this.allowedOriginPatterns)) {
                var3 = this.allowedOriginPatterns.iterator();

                while(var3.hasNext()) {
                    CorsConfiguration.OriginPattern p = (CorsConfiguration.OriginPattern)var3.next();
                    if (p.getDeclaredPattern().equals("*") || p.getPattern().matcher(originToCheck).matches()) {
                        return origin;
                    }
                }
            }

            return null;
        }
    }

    public void validateAllowCredentials() {
        if (this.allowCredentials == Boolean.TRUE && this.allowedOrigins != null && this.allowedOrigins.contains("*")) {
            throw new IllegalArgumentException("When allowCredentials is true, allowedOrigins cannot contain the special value \"*\" since that cannot be set on the \"Access-Control-Allow-Origin\" response header. To allow credentials to a set of origins, list them explicitly or consider using \"allowedOriginPatterns\" instead.");
        }
    }